Trojaner-Board - Trojan Keylogger Win 32 Fung

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojan Keylogger Win 32 Fung (https://www.trojaner-board.de/63307-trojan-keylogger-win-32-fung.html)

Trojan Keylogger Win 32 Fung

Hi Leute,

also ich saß jetzt an meinem PC, alles war normal, bis plötzlich die Meldung im Windows Firewall Fenster aufging "Ihr computer wurde von Trojan Keylogger Win 32 angegriffen" kam. So nun weiß ich igrnedwie nich t weiter.. ICh bin ne ziemlich null auf diesem gebiet, muss ich zugeben. Auf alle fälle hab ich in nem älteren beitrag von dieser seite hier gelesen, dass ich bei VirusTotal den Pfad C:\WINDOWS\system32\drivers\svchost.exe analysieren lasse.
Das hab ich gemacht. Hier das Ergebnis.:

Datei svchost.exe empfangen 2008.10.31 16:39:18 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 7/36 (19.45%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.30.1 2008.10.31 -
AntiVir 7.9.0.10 2008.10.31 -
Authentium 5.1.0.4 2008.10.31 W32/Malware!OC-based
Avast 4.8.1248.0 2008.10.31 -
AVG 8.0.0.161 2008.10.31 Win32/Cryptor
BitDefender 7.2 2008.10.31 -
CAT-QuickHeal 9.50 2008.10.31 -
ClamAV 0.94.1 2008.10.31 -
DrWeb 4.44.0.09170 2008.10.31 -
eSafe 7.0.17.0 2008.10.30 -
eTrust-Vet 31.6.6184 2008.10.31 -
Ewido 4.0 2008.10.31 -
F-Prot 4.4.4.56 2008.10.30 W32/Malware!OC-based
F-Secure 8.0.14332.0 2008.10.31 -
Fortinet 3.117.0.0 2008.10.31 -
GData 19 2008.10.31 -
Ikarus T3.1.1.44.0 2008.10.31 -
K7AntiVirus 7.10.513 2008.10.31 -
Kaspersky 7.0.0.125 2008.10.31 -
McAfee 5419 2008.10.31 -
Microsoft 1.4005 2008.10.31 TrojanDownloader:Win32/Small.IQ
NOD32 3573 2008.10.31 a variant of Win32/Kryptik.BA
Norman 5.80.02 2008.10.30 -
Panda 9.0.0.4 2008.10.30 -
PCTools 4.4.2.0 2008.10.31 -
Prevx1 V2 2008.10.31 Cloaked Malware
Rising 21.01.42.00 2008.10.31 -
SecureWeb-Gateway 6.7.6 2008.10.31 -
Sophos 4.35.0 2008.10.31 Mal/EncPk-CZ
Sunbelt 3.1.1767.2 2008.10.31 -
Symantec 10 2008.10.31 -
TheHacker 6.3.1.1.135 2008.10.31 -
TrendMicro 8.700.0.1004 2008.10.31 -
VBA32 3.12.8.9 2008.10.30 -
ViRobot 2008.10.31.1446 2008.10.31 -
VirusBuster 4.5.11.0 2008.10.31 -

File size: 35840 bytes
MD5...: d4d30d54d3268b43a2f0a79a48b9f0c5
SHA1..: c039e06dc20362f1b46616ca7bd0d8f201441343
SHA256: bbccde95c949727c68c8f1136eec46923651436d48fc55a0666eab00ca996541
SHA512: fe724e46f58f6bf0dc4748dc2c6d17c8778a67f8635a7dd24197851aeeda84d6
9437a3a1a6be16c67b534ed40f6d682423556b371753bfcbbbea1435b2f8ad06
PEiD..: -
TrID..: File type identification
Win32 Dynamic Link Library (generic) (65.2%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
VXD Driver (0.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4011b9
timedatestamp.....: 0x4831ddd1 (Mon May 19 20:06:41 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xb71 0xc00 3.83 5b712b8f58b737b038037bded0464af9
.rdata 0x2000 0xf1d 0x1000 5.17 0445c9d3a9c22952d2db2ae6e041ec6a
.data 0x3000 0x1f9ef 0x6600 6.64 421b8738938930f743f4b0ef19217ec4
.reloc 0x23000 0x1e3 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x24000 0x22e 0x400 0.00 0f343b0931126a20f133d67c2b018a3b

( 9 imports )
> COMCTL32.DLL: ImageList_GetDragImage, ImageList_Create, ImageList_Merge, ImageList_GetImageRect, ImageList_Remove, ImageList_DragShowNolock, ImageList_Copy, ImageList_GetImageCount, ImageList_AddMasked, ImageList_AddIcon, ImageList_DragEnter, ImageList_DrawIndirect, ImageList_DragLeave, ImageList_LoadImageA, ImageList_DrawEx, ImageList_ReplaceIcon, ImageList_EndDrag
> COMCTL32.DLL: ImageList_DragEnter, ImageList_GetImageCount, ImageList_AddMasked, ImageList_AddIcon, ImageList_Replace, ImageList_GetDragImage, ImageList_DrawEx, ImageList_LoadImageA, ImageList_EndDrag, ImageList_GetImageRect, ImageList_Merge, ImageList_DragLeave, ImageList_GetIconSize, ImageList_Create
> GDI32.DLL: DeleteDC, AddFontResourceA, AddFontResourceExW, RestoreDC, GetCurrentPositionEx, GetPixel, CreateSolidBrush, AddFontResourceTracking, AddFontResourceExA, AbortPath, CloseFigure
> GDI32.DLL: GetPixel, GetClipBox, GetCurrentPositionEx, AddFontResourceW, GetBrushOrgEx, GetDCOrgEx, CancelDC, ExcludeClipRect, CloseMetaFile, DeleteObject, SetTextColor
> ADVAPI32.DLL: RegQueryValueExW, RegDeleteValueW, RegOpenKeyA, RegQueryInfoKeyA, RegReplaceKeyA, RegEnumKeyW, RegOpenKeyW, RegLoadKeyA, RegEnumKeyA, RegCreateKeyExW, RegQueryInfoKeyW, RegFlushKey, RegEnumKeyExA
> KERNEL32.DLL: CopyFileExA, GetCPInfo, GetCommandLineA, CreateDirectoryA, GlobalFree, ExitThread, DeleteFileW, OpenFileMappingA, GetComputerNameA, GetFileTime, CopyFileExW, FindFirstFileA, ReadConsoleA, GetStdHandle
> USER32.DLL: EndDialog, LoadCursorA, DrawTextA, GetMenu, AppendMenuA, GetDlgItem, AlignRects, GetWindowTextA, IsWindow, DrawTextW, DialogBoxParamW, GetDC, LoadMenuA, CalcMenuBar, AppendMenuW, CopyImage, CopyRect, CopyIcon, GetWindowTextLengthA
> COMCTL32.DLL: ImageList_LoadImageA, ImageList_GetImageCount, ImageList_Destroy, ImageList_AddMasked, ImageList_GetIconSize, ImageList_Merge, InitCommonControls, ImageList_DragShowNolock, ImageList_ReplaceIcon, ImageList_DragLeave, ImageList_LoadImageW, ImageList_LoadImage
> GDI32.DLL: AddFontResourceExW, AddFontResourceA, GetPixel, DeleteDC, GetBitmapBits, SetTextColor, CloseFigure, AddFontResourceTracking, GetDCOrgEx, GetCurrentPositionEx, AddFontMemResourceEx, AbortPath, ClearBitmapAttributes, CreateSolidBrush, GetClipBox, CloseMetaFile, ExcludeClipRect, GetPixel, AddFontResourceExA

so nun kommt mein problem, was bedeutet das?? is mei rechner vol infiziert un was mach ich nun??

Kann mir jmd weiterhelfen??? wäre voll lieb... Ich weiß nämlich ne weiter...

Danke schonmal im Voraus

Hallo und :hallo:

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:45:17, on 31.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\Dokumente und Einstellungen\Administratormupd1_2_645698.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL Manager\DslMgrSvc.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\system32\MDM.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\MOZILLA FIREFOX 3 BETA 4\FIREFOX.EXE
C:\Programme\Total Commander\TOTALCMD.EXE
D:\Felix\qlketzd.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CExtension Object - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Steganos AntiVirus 2006\kav.exe" /minimize
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Bsx3] RunDLL32.EXE C:\WINDOWS\bs3.dll,DllRun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKCU\..\Run: [wixpo] "C:\Dokumente und Einstellungen\Administratormupd1_2_645698.exe"
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'Default user')
O4 - S-1-5-18 Startup: T-DSL Manager.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: T-DSL Manager.lnk = ? (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6#2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6#2\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DAFC43E-0BBE-4BE1-8D1F-0F6041B91965}: NameServer = 217.237.149.205 217.237.151.51
O23 - Service: Hotspot Manager (HotSpotFSvc) - T-Systems Enterprise Services GmbH - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Steganos GmbH - C:\Programme\Steganos AntiVirus 2006\kavsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: T-DSL Manager (TDslMgrService) - T-Systems - C:\Programme\T-DSL Manager\DslMgrSvc.exe

--
End of file - 5597 bytes

Bitte die nächsten Logfiles mit Codetags umschlossen posten!

tealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Code:

10/31/08 20:53:06 [Info]: BlackLight Engine 2.2.1092 initialized

10/31/08 20:53:06 [Info]: OS: 5.1 build 2600 (Service Pack 2)

10/31/08 20:53:06 [Note]: 7019 4

10/31/08 20:53:06 [Note]: 7005 0

10/31/08 20:53:11 [Note]: 7006 0

10/31/08 20:53:11 [Note]: 7011 244

10/31/08 20:53:12 [Note]: 7035 0

10/31/08 20:53:12 [Note]: 7026 0

10/31/08 20:53:12 [Note]: 7026 0

10/31/08 20:53:12 [Note]: 7015 368

10/31/08 20:53:12 [Note]: 7015 2

10/31/08 20:53:12 [Note]: 7015 1548

10/31/08 20:53:12 [Note]: 7015 2

10/31/08 20:53:15 [Note]: FSRAW library version 1.7.1024

10/31/08 21:05:25 [Note]: 7007 0

Danke für die ilfe bis jetzt.. ich hab echt kein plan davon..^^

Ok. Hast Du schon Combofix ausgeführt? Wenn nicht dann warte noch einen Moment, auch mit MBAM.

Malwarebytes Antimalware führe ich grad noch aus.. das andere crombofix hab ich noch ne ausgeführt...

is irgendwas schlimmes mit meim pc??

sry das die antwort länger gedauert hat.. konnte ne zurückschreim...

Naja, ich seh aus dem Hijackthis Logfile schon einige Malwaredateien. Da wollte ich, dass Du die bei Virustotal auswertest, aber wenn Du schon MalwareBytes ausführst...lassen wir das sein. :rolleyes:

echt vielen dank für die Hilfe.. ich wüsste sonst echt ne weiter...
kann bei dem crombofix viel schied gehen... das klingt irgendwie so..?

Halte Dich einfach strikt an die Combofix Anleitung. Dann passiert schon nix. :rolleyes:

un wenn ich das mit dem crombofix ausgeführt hab kommt dann wohl die meldung mit dem trojan.keylooger.win32.fung ne mehr??

Code:

Malwarebytes' Anti-Malware 1.30

Datenbank Version: 1345

Windows 5.1.2600 Service Pack 2
 

31.10.2008 21:56:52

mbam-log-2008-10-31 (21-56-52).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 90180

Laufzeit: 59 minute(s), 9 second(s)
 

Infizierte Speicherprozesse: 1

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 3

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 1

Infizierte Dateien: 5
 

Infizierte Speicherprozesse:

C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{ce31a1f7-3d90-4874-8fbe-a5d97f8bc8f1} (Adware.Bargain.Buddy) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave (Adware.WhenUSave) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenUSave) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

C:\Programme\Save (Adware.WhenUSave) -> Quarantined and deleted successfully.
 

Infizierte Dateien:

C:\WINDOWS\system32\drivers\svchost.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

C:\Programme\Save\ReadMe.txt (Adware.WhenUSave) -> Quarantined and deleted successfully.

C:\Programme\Save\Save.exe (Adware.WhenUSave) -> Quarantined and deleted successfully.

C:\Programme\Save\save.htm (Adware.WhenUSave) -> Quarantined and deleted successfully.

C:\Programme\Save\SaveUninst.exe (Adware.WhenUSave) -> Quarantined and deleted successfully.

Zitat:

Zitat von Partynixe21 (Beitrag 387693)

un wenn ich das mit dem crombofix ausgeführt hab kommt dann wohl die meldung mit dem trojan.keylooger.win32.fung ne mehr??

Das werden wir dann sehen. :party:

Code:



"Silent Runners.vbs", revision 58, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"
 
 

Startup items buried in registry:

---------------------------------
 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

"wixpo" = ""C:\Dokumente und Einstellungen\Administratormupd1_2_645698.exe"" [null data]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"KAVPersonal50" = ""C:\Programme\Steganos AntiVirus 2006\kav.exe" /minimize" ["Steganos GmbH"]

"Smapp" = "C:\Programme\Analog Devices\SoundMAX\SMTray.exe" ["Analog Devices, Inc."]

"Bsx3" = "RunDLL32.EXE C:\WINDOWS\bs3.dll,DllRun" [MS]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}

"Malwarebytes' Anti-Malware" = "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent" ["Malwarebytes Corporation"]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Adobe PDF Reader"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

{A85C4A1B-BD36-44E5-A70F-8EC347D9B24F}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "CExtension Object"

                   \InProcServer32\(Default) = "C:\WINDOWS\bs3.dll" ["TODO: <Company name>"]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"

  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{FAE0A3E0-3010-41BA-9DDC-A631394F047F}" = "SteganosShellExtension"

  -> {HKLM...CLSID} = "SteganosShellExtension"

                   \InProcServer32\(Default) = "C:\Programme\Steganos Security Suite 2006\ShellExtension.dll" [null data]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"

  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"

  -> {HKLM...CLSID} = "Portable Media Devices Menu"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"

  -> {HKLM...CLSID} = "iTunes"

                   \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\

{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"

  -> {HKLM...CLSID} = "PDF Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
 

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\

Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Programme\Steganos AntiVirus 2006\shellex.dll" ["Steganos GmbH"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\

Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Programme\Steganos AntiVirus 2006\shellex.dll" ["Steganos GmbH"]

MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"

  -> {HKLM...CLSID} = "MBAMShlExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\

MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"

  -> {HKLM...CLSID} = "MBAMShlExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]

SteganosShellExtension\(Default) = "{FAE0A3E0-3010-41BA-9DDC-A631394F047F}"

  -> {HKLM...CLSID} = "SteganosShellExtension"

                   \InProcServer32\(Default) = "C:\Programme\Steganos Security Suite 2006\ShellExtension.dll" [null data]
 
 

Group Policies {GPedit.msc branch and setting}:

-----------------------------------------------
 

Note: detected settings may not have any effect.
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
 

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Shutdown: Allow system to be shut down without having to log on}
 

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Devices: Allow undock without having to log on}
 
 

Active Desktop and Wallpaper:

-----------------------------
 

Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
 

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "C:\WINDOWS\Justin Timberlake.bmp"
 

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\WINDOWS\Justin Timberlake.bmp"
 
 

Windows Portable Device AutoPlay Handlers

-----------------------------------------
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\
 

HPUnloadAutoplay\

"Provider" = "HP Übertragung und Schnelldruck"

"InvokeProgID" = "HpqUnApl.Autoplay"

"InvokeVerb" = "Play"

HKLM\SOFTWARE\Classes\HpqUnApl.Autoplay\shell\Play\DropTarget\CLSID = "{E1A1C814-FD09-4c9d-BB4A-0394B836A1F0}"

  -> {HKLM...CLSID} = (no title provided)

                   \LocalServer32\(Default) = "C:\Programme\HP\Digital Imaging\Unload\HpqUnApl.exe" ["Hewlett-Packard"]
 

iTunesBurnCDOnArrival\

"Provider" = "iTunes"

"InvokeProgID" = "iTunes.BurnCD"

"InvokeVerb" = "burn"

HKLM\SOFTWARE\Classes\iTunes.BurnCD\shell\burn\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /AutoPlayBurn "%L"" ["Apple Inc."]
 

iTunesImportSongsOnArrival\

"Provider" = "iTunes"

"InvokeProgID" = "iTunes.ImportSongsOnCD"

"InvokeVerb" = "import"

HKLM\SOFTWARE\Classes\iTunes.ImportSongsOnCD\shell\import\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /AutoPlayImportSongs "%L"" ["Apple Inc."]
 

iTunesPlaySongsOnArrival\

"Provider" = "iTunes"

"InvokeProgID" = "iTunes.PlaySongsOnCD"

"InvokeVerb" = "play"

HKLM\SOFTWARE\Classes\iTunes.PlaySongsOnCD\shell\play\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /playCD "%L"" ["Apple Inc."]
 

iTunesShowSongsOnArrival\

"Provider" = "iTunes"

"InvokeProgID" = "iTunes.ShowSongsOnCD"

"InvokeVerb" = "showsongs"

HKLM\SOFTWARE\Classes\iTunes.ShowSongsOnCD\shell\showsongs\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /AutoPlayShowSongs "%L"" ["Apple Inc."]
 

MPCPlayDVDMovieOnArrival\

"Provider" = "Media Player Classic"

"InvokeProgID" = "MediaPlayerClassic.Autorun"

"InvokeVerb" = "PlayDVDMovie"

HKLM\SOFTWARE\Classes\MediaPlayerClassic.Autorun\shell\PlayDVDMovie\Command\(Default) = "C:\Programme\K-Lite Codec Pack\Media Player Classic\mplayerc.exe %1 /dvd" ["Gabest"]
 

MPCPlayVideoFilesOnArrival\

"Provider" = "Media Player Classic"

"InvokeProgID" = "MediaPlayerClassic.Autorun"

"InvokeVerb" = "PlayVideoFiles"

HKLM\SOFTWARE\Classes\MediaPlayerClassic.Autorun\shell\PlayVideoFiles\Command\(Default) = "C:\Programme\K-Lite Codec Pack\Media Player Classic\mplayerc.exe %1" ["Gabest"]
 

NeroAutoPlay2AudioToNeroDigital\

"Provider" = "Nero Burning ROM"

"InvokeProgID" = "Nero.AutoPlay2"

"InvokeVerb" = "PlayCDAudioOnArrival_AudioToNeroDigital"

HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_AudioToNeroDigital\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /Dialog:SaveTracksND  /Drive:%L" ["Ahead Software AG"]
 

NeroAutoPlay2CDAudio\

"Provider" = "Nero Express"

"InvokeProgID" = "Nero.AutoPlay2"

"InvokeVerb" = "HandleCDBurningOnArrival_CDAudio"

HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_CDAudio\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /New:AudioCD /Drive:%L" ["Ahead Software AG"]
 

NeroAutoPlay2CopyCD\

"Provider" = "Nero Express"

"InvokeProgID" = "Nero.AutoPlay2"

"InvokeVerb" = "PlayCDAudioOnArrival_CopyCD"

HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_CopyCD\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /Dialog:DiscCopy /Drive:%L" ["Ahead Software AG"]
 

NeroAutoPlay2DataDisc\

"Provider" = "Nero Express"

"InvokeProgID" = "Nero.AutoPlay2"

"InvokeVerb" = "HandleCDBurningOnArrival_DataDisc"

HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_DataDisc\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /New:ISODisc /Drive:%L" ["Ahead Software AG"]
 

NeroAutoPlay2LaunchNeroStartSmart\

"Provider" = "Nero StartSmart"

"InvokeProgID" = "Nero.AutoPlay2"

"InvokeVerb" = "HandleCDBurningOnArrival_LaunchNeroStartSmart"

HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_LaunchNeroStartSmart\command\(Default) = "C:\Programme\Ahead\Nero StartSmart\NeroStartSmart.exe /AutoPlay /Drive:%L" ["Ahead Software AG"]
 

NeroAutoPlay2RipCD\

"Provider" = "Nero Burning ROM"

"InvokeProgID" = "Nero.AutoPlay2"

"InvokeVerb" = "PlayCDAudioOnArrival_RipCD"

HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_RipCD\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /Dialog:SaveTracks  /Drive:%L" ["Ahead Software AG"]
 

WinampPlayMediaOnArrival\

"Provider" = "Winamp"

"InvokeProgID" = "Winamp.File"

"InvokeVerb" = "Play"

HKLM\SOFTWARE\Classes\Winamp.File\shell\Play\command\(Default) = ""C:\Programme\Winamp\winamp.exe" "%1"" ["Nullsoft"]

HKLM\SOFTWARE\Classes\Winamp.File\shell\Play\DropTarget\CLSID = "{46986115-84D6-459c-8F95-52DD653E532E}"

  -> {HKLM...CLSID} = (no title provided)

                   \LocalServer32\(Default) = ""C:\Programme\Winamp\winamp.exe"" ["Nullsoft"]
 
 

Winsock2 Service Provider DLLs:

-------------------------------
 

Namespace Service Providers
 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]

000000000005\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]
 

Transport Service Providers
 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 27

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
 
 

Toolbars, Explorer Bars, Extensions:

------------------------------------
 

Explorer Bars
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
 

HKLM\SOFTWARE\Classes\CLSID\{00000000-5736-4205-0009-0FF9B7C016DD}\(Default) = "Steganos Private Favoriten"

Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]

InProcServer32\(Default) = "c:\programme\steganos security suite 2006\sss2006iep.dll" [null data]
 

Extensions (Tools menu items, main toolbar menu buttons)
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\

{E2E2DD38-D088-4134-82B7-F2BA38496583}\

"MenuText" = "@xpsp3res.dll,-20001"

"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]
 

{E59EB121-F339-4851-A3BA-FE49C35617C2}\

"ButtonText" = "ICQ6"

"MenuText" = "ICQ6"

"Exec" = "C:\Programme\ICQ6#2\ICQ.exe" ["ICQ, Inc."]
 

{FB5F1910-F110-11D2-BB9E-00C04F795683}\

"ButtonText" = "Messenger"

"MenuText" = "Windows Messenger"

"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]
 
 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------
 

Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}

kavsvc, kavsvc, ""C:\Programme\Steganos AntiVirus 2006\kavsvc.exe"" ["Steganos GmbH"]

Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS\system32\HPZipm12.exe" ["HP"]

SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Programme\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."]

T-DSL Manager, TDslMgrService, ""C:\Programme\T-DSL Manager\DslMgrSvc.exe"" ["T-Systems"]

Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]
 
 

Print Monitors:

---------------
 

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\

HP Standard TCP/IP Port\Driver = "HpTcpMon.dll" ["Hewlett Packard"]

hpzlnt12\Driver = "hpzlnt12.dll" ["HP"]
 
 

---------- (launch time: 2008-10-31 22:00:28)

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

  DLL launch points, use the -supp parameter or answer "No" at the

  first message box and "Yes" at the second message box.

---------- (total run time: 124 seconds, including 16 seconds for message boxes)

hast Du Combofix schon ausgeführt? Wenn nicht sehe ich noch ne Chance hierfür:

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

C:\Dokumente und Einstellungen\Administratormupd1_2_645698.exe

C:\WINDOWS\bs3.dll

also ich hab jetzt das crombofix schon vor deinem letzten post ausgeführt gehabt...

alles war gut, bis zum schluss.. Da kam die log datei un dann kam mei desktop aber nicht wieder... dann musste ich den pc neu starten..

un als ich ihn neu gestartet hatte kam die meldung trojan.keylogger.win32.fung wieder..

was is nu los??

Code:

ComboFix 08-10-30.13 - Administrator 2008-10-31 22:25:18.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.245 [GMT 1:00]

ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt

 * Resident AV is active
 

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\WINDOWS\system32\mdm.exe
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-09-28 bis 2008-10-31  ))))))))))))))))))))))))))))))

.
 

2008-10-31 22:15 . 2008-10-31 22:15        <DIR>        d--------        C:\Programme\CCleaner

2008-10-31 20:55 . 2008-10-31 20:55        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware

2008-10-31 20:55 . 2008-10-31 20:55        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-10-31 20:55 . 2008-10-31 20:55        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes

2008-10-31 20:55 . 2008-10-22 16:10        38,496        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-10-31 20:55 . 2008-10-22 16:10        15,504        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-10-31 15:18 . 2008-10-31 15:18        100,352        --a------        C:\Dokumente und Einstellungen\Administratormupd1_2_645698.exe

2008-10-31 15:18 . 2008-10-31 20:37        44,032        --a------        C:\Dokumente und Einstellungen\mjkmsk.dll

2008-10-19 14:36 . 2008-10-19 14:36        <DIR>        d--------        C:\Programme\Hewlett-Packard

2008-10-19 14:20 . 2008-10-19 15:07        113,618        --a------        C:\WINDOWS\hpoins07.dat

2008-10-19 14:20 . 2005-05-24 07:50        21,124        ---------        C:\WINDOWS\hpomdl07.dat

2008-10-12 15:29 . 2004-08-03 23:57        159,232        --a------        C:\WINDOWS\system32\ptpusd.dll

2008-10-12 15:29 . 2001-08-18 03:54        5,632        --a------        C:\WINDOWS\system32\ptpusb.dll

2008-10-03 16:39 . 2008-10-03 16:53        <DIR>        d--------        C:\Programme\ICQ6#2

2008-10-03 16:26 . 2008-10-03 16:38        <DIR>        d--------        C:\Programme\ICQ617_39_20

2008-10-03 10:19 . 2008-10-03 12:01        <DIR>        d--------        C:\WINDOWS\SxsCaPendDel

2008-09-28 13:46 . 2008-09-28 14:03        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-DSL SpeedManager

2008-09-28 13:46 . 2008-09-28 13:46        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\T-DSL SpeedManager
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-31 21:23        ---------        d-----w        C:\Programme\Mozilla Firefox 3 Beta 4

2008-10-31 14:19        ---------        d-----w        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Apple Computer

2008-10-31 14:19        ---------        d-----w        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ahead

2008-10-19 13:36        ---------        d-----w        C:\Programme\HP

2008-10-05 08:09        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Adobe

2008-10-03 15:34        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-10-03 15:28        ---------        d-----w        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ

2008-10-03 15:24        ---------        d-----w        C:\Programme\T-Online

2008-10-03 15:24        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Marmiko Shared

2008-10-03 11:10        ---------        d-----w        C:\Programme\Google

2008-10-03 11:05        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bluetooth

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 15360]

"wixpo"="C:\Dokumente und Einstellungen\Administratormupd1_2_645698.exe" [2008-10-31 100352]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"KAVPersonal50"="C:\Programme\Steganos AntiVirus 2006\kav.exe" [2005-11-23 139367]

"Smapp"="C:\Programme\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]

"Bsx3"="C:\WINDOWS\bs3.dll" [2003-08-19 139264]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2007-01-16 176128]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"SSS2006"="C:\Programme\Steganos Security Suite 2006\SSS2006.exe" [2006-06-08 5279744]
 

C:\Dokumente und Einstellungen\Default User\Startmen\Programme\Autostart\

T-DSL Manager.lnk - C:\Programme\T-DSL Manager\DslMgr.exe [2006-12-18 823296]
 

C:\Dokumente und Einstellungen\Aline\Startmen\Programme\Autostart\

T-DSL Manager.lnk - C:\Programme\T-DSL Manager\DslMgr.exe [2006-12-18 823296]
 

C:\Dokumente und Einstellungen\Default User\Startmen\Programme\Autostart\

T-DSL Manager.lnk - C:\Programme\T-DSL Manager\DslMgr.exe [2006-12-18 823296]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.3iv2"= 3ivxVfWCodec.dll

"VIDC.HFYU"= huffyuv.dll

"VIDC.VP31"= vp31vfw.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiHacker]

"DisableMonitoring"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Programme\\iTunes\\iTunes.exe"=

"C:\\Programme\\ICQ6#2\\ICQ.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
 

R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys [2003-10-31 77312]

R1 Klmc;Klmc;C:\WINDOWS\system32\drivers\klmc.sys [2005-10-03 10995]

R1 SLEE_13_DRIVER;Steganos Live Encryption Engine 13 [Driver];C:\WINDOWS\system32\drivers\SLEE13.sys [2005-10-04 16:42 74240]

R3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 17536]

R3 TDslMgrService;T-DSL Manager;C:\Programme\T-DSL Manager\DslMgrSvc.exe [2006-12-18 266240]

R3 TSMPacket;T-DSL Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [2006-12-01 13184]

S3 HotSpotFSvc;Hotspot Manager;C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe [2006-12-12 212992]

S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 17152]

S3 SQTECH930B;SQ930 USB 2.0 Video Camera;C:\WINDOWS\system32\Drivers\Capt930b.sys [2006-03-20 345644]
 

*Newly Created Service* - MBAMSWISSARMY

*Newly Created Service* - MBR

*Newly Created Service* - PROCEXP90

.

.

------- Zusätzlicher Suchlauf -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\m9r0ltjf.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de

FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll

FF -: plugin - C:\Programme\iTunes\Plugins\npqtplugin.dll

FF -: plugin - C:\Programme\iTunes\Plugins\npqtplugin2.dll

FF -: plugin - C:\Programme\iTunes\Plugins\npqtplugin3.dll

FF -: plugin - C:\Programme\iTunes\Plugins\npqtplugin4.dll

FF -: plugin - C:\Programme\iTunes\Plugins\npqtplugin5.dll

FF -: plugin - C:\Programme\iTunes\Plugins\npqtplugin6.dll

FF -: plugin - C:\Programme\K-Lite Codec Pack\real\browser\plugins\nppl3260.dll

FF -: plugin - C:\Programme\K-Lite Codec Pack\real\browser\plugins\nprpjplug.dll

FF -: plugin - C:\PROGRAMME\Mozilla Firefox 3 Beta 4\plugins\npnul32.dll

FF -: plugin - C:\PROGRAMME\Mozilla Firefox 3 Beta 4\plugins\nppdf32.dll

FF -: plugin - C:\PROGRAMME\Mozilla Firefox 3 Beta 4\plugins\npqtplugin.dll

FF -: plugin - C:\PROGRAMME\Mozilla Firefox 3 Beta 4\plugins\npqtplugin2.dll

FF -: plugin - C:\PROGRAMME\Mozilla Firefox 3 Beta 4\plugins\npqtplugin3.dll

FF -: plugin - C:\PROGRAMME\Mozilla Firefox 3 Beta 4\plugins\npqtplugin4.dll

FF -: plugin - C:\PROGRAMME\Mozilla Firefox 3 Beta 4\plugins\npqtplugin5.dll

FF -: plugin - C:\PROGRAMME\Mozilla Firefox 3 Beta 4\plugins\npqtplugin6.dll

FF -: plugin - C:\PROGRAMME\Mozilla Firefox\plugins\npyaxmpb.dll

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-31 22:27:34

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2008-10-31 22:29:55

ComboFix-quarantined-files.txt  2008-10-31 21:29:48
 

Vor Suchlauf: 13 Verzeichnis(se), 35.319.177.216 Bytes frei

Nach Suchlauf: 13 Verzeichnis(se), 35,502,637,056 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
 

152        --- E O F ---        2007-08-29 19:17:58

Hat Combofix das Logfile erzeugt? Wenn ja posten
Mach weiter mit dem Filelisting.

Äh das problem ist doch schon gelöst?!! siehe mein posting!!

Administratormupd1_2_645698.exe im taskmanager killen
dann in application data/google die zugehörige (gleicher Name) löschen

FERTIG!!!

Zitat:

Zitat von Seppdepp (Beitrag 387740)

Naja. Heutige malware würde ich nicht als ganz so primitiv einschätzen. Außerdem scheint der Dateiname ein anderer bei der Partynixe zu sein. Und den wollte ich erst bei Virustotal ausgewertet haben. :rolleyes:

http://www.file-upload.net/download-1221682/listing.txt.html

Werte bitte noch die Dateien bei Virustotal aus, dann können wir uns ans Entfernen ranmachen.

sind wir jetzt schon fertig???^^

wie siehts denn aus?

Zitat:

Zitat von Partynixe21 (Beitrag 387734)

einfach lam hier schauen hat mir geholfen!
Gruß
http://www.removeonline.com/remove-trojan-keylogger-win32-fung-trojankeyloggerwin32fung-removal-instructions/

Zitat:

Zitat von Partynixe21 (Beitrag 387751)

sind wir jetzt schon fertig???^^

wie siehts denn aus?

Ich sagte doch: Werte die beiden Dateien bei Virustotal aus, dann entfernen wir die.

@ root 24

was mach ich nun??

Zitat:

Zitat von Partynixe21 (Beitrag 387762)

@ root 24

was mach ich nun??

http://www.trojaner-board.de/63307-t...tml#post387723

sry... bin bill durcheinanner gekomm..

was is seppdepp fürn typ??

1. Datei

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis

AhnLab-V3        2008.11.1.0        2008.10.31        -

AntiVir        7.9.0.10        2008.10.31        -

Authentium        5.1.0.4        2008.10.31        -

Avast        4.8.1248.0        2008.10.31        -

AVG        8.0.0.161        2008.10.31        -

BitDefender        7.2        2008.10.31        -

CAT-QuickHeal        9.50        2008.10.31        -

ClamAV        0.94.1        2008.10.31        -

DrWeb        4.44.0.09170        2008.10.31        -

eSafe        7.0.17.0        2008.10.30        -

eTrust-Vet        31.6.6184        2008.10.31        -

Ewido        4.0        2008.10.31        -

F-Prot        4.4.4.56        2008.10.31        -

F-Secure        8.0.14332.0        2008.10.31        Suspicious:W32/UltimateRAT.21!Gemini

Fortinet        3.117.0.0        2008.10.31        -

GData        19        2008.10.31        -

Ikarus        T3.1.1.44.0        2008.10.31        -

K7AntiVirus        7.10.513        2008.10.31        -

Kaspersky        7.0.0.125        2008.10.31        -

McAfee        5419        2008.10.31        -

Microsoft        1.4005        2008.10.31        TrojanDownloader:Win32/Dabew

NOD32        3575        2008.10.31        -

Norman        5.80.02        2008.10.31        -

Panda        9.0.0.4        2008.10.31        Suspicious file

PCTools        4.4.2.0        2008.10.31        -

Prevx1        V2        2008.10.31        Fraudulent Security Program

Rising        21.01.42.00        2008.10.31        -

SecureWeb-Gateway        6.7.6        2008.10.31        -

Sophos        4.35.0        2008.10.31        -

Sunbelt        3.1.1767.2        2008.10.31        -

Symantec        10        2008.10.31        -

TheHacker        6.3.1.1.135        2008.10.31        -

TrendMicro        8.700.0.1004        2008.10.31        -

VBA32        3.12.8.9        2008.10.30        -

ViRobot        2008.10.31.1446        2008.10.31        -

VirusBuster        4.5.11.0        2008.10.31        -

weitere Informationen

File size: 100352 bytes

MD5...: ecb01538701840902f25159d401b00f4

SHA1..: c4f8a9ed9115100524fc10e4a12a058d71ea0d7a

SHA256: 50c1392d42de8336b666b9243ed257112b35dbd8f09018b8808af2c2c32f79ad

SHA512: adff3cc84a6704b060358bfb95845853dfdac3d57eeadb1ae2811888c8d75d06

ed300211b53883c6fc79fe43f10c618e556104579d2c15a139c98c69d12ef64f

PEiD..: -

TrID..: File type identification

Win32 Executable Generic (38.4%)

Win32 Dynamic Link Library (generic) (34.1%)

Win16/32 Executable Delphi generic (9.3%)

Generic Win/DOS Executable (9.0%)

DOS Executable Generic (9.0%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x405ea4

timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)

machinetype.......: 0x14c (I386)
 

( 8 sections )

name viradd virsiz rawdsiz ntrpy md5

CODE 0x1000 0x6d8c 0x6e00 7.31 7c5d2599dfc5c5de35a167e1f078861e

DATA 0x8000 0xad0c 0xae00 6.25 97842ec0f6b64c6f6db13e775afabc08

BSS 0x13000 0xa45 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.idata 0x14000 0x9d2 0xa00 4.64 730782252460a62355438c3f80d139cf

.tls 0x15000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.rdata 0x16000 0x18 0x200 0.21 edbc3e5536a5fe87f44333e41c2f7759

.reloc 0x17000 0xa50 0xc00 6.26 4c695930e300345b9e28221a173c163e

.rsrc 0x18000 0x5000 0x5000 6.18 c75a1fde1799dd2354cfc20e75b9ae75
 

( 10 imports )

> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, GetThreadLocale, GetStartupInfoA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle

> user32.dll: GetKeyboardType, MessageBoxA, CharNextA

> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey

> oleaut32.dll: SysFreeString

> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA

> advapi32.dll: RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegDeleteValueA, RegCloseKey

> kernel32.dll: lstrlenA, lstrcpyA, lstrcmpiA, lstrcatA, WriteFile, WinExec, VirtualProtect, Sleep, LoadLibraryA, HeapFree, HeapAlloc, GetTickCount, GetProcessHeap, GetProcAddress, GetModuleHandleA, GetLastError, GetEnvironmentVariableA, FreeLibrary, FindNextFileA, FindFirstFileA, FindClose, FileTimeToLocalFileTime, FileTimeToDosDateTime, CreateFileA, CloseHandle

> gdi32.dll: TextOutA, StretchBlt, SetTextColor, SetBkMode, SetBkColor, SelectObject, MoveToEx, LineTo, DeleteObject, DeleteDC, CreateSolidBrush, CreatePen, CreateFontIndirectA, CreateCompatibleDC, BitBlt

> user32.dll: CreateWindowExA, UnregisterClassA, TranslateMessage, SystemParametersInfoA, ShowWindow, SetWindowPos, SetCursor, SendMessageA, ScreenToClient, RegisterClassA, PostQuitMessage, PeekMessageA, LoadImageA, LoadIconA, LoadCursorA, KillTimer, GetWindowLongA, GetSysColor, GetCursorPos, EndPaint, DrawIcon, DispatchMessageA, DestroyWindow, DefWindowProcA, BringWindowToTop, BeginPaint

> shell32.dll: ShellExecuteA
 

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=59937ED800677093882901B06FA5D4004F0E1806

packers (F-Prot): embedded

2. Datei

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis

AhnLab-V3        2008.11.1.0        2008.10.31        Win-Trojan/Bookedspace.139264

AntiVir        7.9.0.10        2008.10.31        ADSPY/BookedSpace.A

Authentium        5.1.0.4        2008.10.31        W32/Adware.GFC

Avast        4.8.1248.0        2008.10.31        Win32:Adware-gen

AVG        8.0.0.161        2008.10.31        Generic.BDG

BitDefender        7.2        2008.10.31        Application.Bookedspace.E

CAT-QuickHeal        9.50        2008.10.31        AdvWare.BookedSpace.a (Not a Virus)

ClamAV        0.94.1        2008.10.31        -

DrWeb        4.44.0.09170        2008.10.31        DLOADER.Trojan

eSafe        7.0.17.0        2008.10.30        -

eTrust-Vet        31.6.6184        2008.10.31        -

Ewido        4.0        2008.10.31        Adware.BookedSpace

F-Prot        4.4.4.56        2008.10.31        W32/Adware.GFC

F-Secure        8.0.14332.0        2008.10.31        AdWare.Win32.BookedSpace.a

Fortinet        3.117.0.0        2008.10.31        Adware/Bkdspace

GData        19        2008.10.31        Application.Bookedspace.E

Ikarus        T3.1.1.44.0        2008.10.31        not-a-virus:AdWare.Win32.BookedSpace.a

K7AntiVirus        7.10.513        2008.10.31        Non-Virus:AdWare.Win32.BookedSpace.a

Kaspersky        7.0.0.125        2008.10.31        not-a-virus:AdWare.Win32.BookedSpace.a

McAfee        5419        2008.10.31        potentially unwanted program Adware-BkdSpace

Microsoft        1.4005        2008.10.31        Adware:Win32/BookedSpace

NOD32        3575        2008.10.31        Win32/Adware.BkdSpace

Norman        5.80.02        2008.10.31        W32/BookedSpace.G

Panda        9.0.0.4        2008.10.31        Adware/BookedSpace

Prevx1        V2        2008.10.31        Malicious Software

Rising        21.01.42.00        2008.10.31        Adware.BookedSpace.b

SecureWeb-Gateway        6.7.6        2008.10.31        Ad-Spyware.BookedSpace.A

Sophos        4.35.0        2008.10.31        -

Sunbelt        3.1.1767.2        2008.10.31        BookedSpace

Symantec        10        2008.10.31        Adware.Bookedspace

TheHacker        6.3.1.1.135        2008.10.31        Adware/BookedSpace.a

TrendMicro        8.700.0.1004        2008.10.31        -

VBA32        3.12.8.9        2008.10.30        AdWare.BookedSpace.a

ViRobot        2008.10.31.1446        2008.10.31        -

VirusBuster        4.5.11.0        2008.10.31        Adware.BookedSpace.Z

weitere Informationen

File size: 139264 bytes

MD5...: e2bde544846f6530d9c9d8d9aa65aeb8

SHA1..: ebaaafd2dd2198c8c8495234a061a3d255119a7a

SHA256: c5f28ca54cb10284de0da560a6770eb46e7bfb9a42bd15c7db8624e598c9fc7a

SHA512: ba53fc84ff1805bcca5dcd7ede327c01f0b4a3cde6653af34e0780cbf558a0f0

336e5fd95e92693606c95239788857b23d951b85bda4cd7f0972efd571c9a8e7

PEiD..: -

TrID..: File type identification

DirectShow filter (52.6%)

Windows OCX File (32.2%)

Win32 Executable MS Visual C++ (generic) (9.8%)

Win32 Executable Generic (2.2%)

Win32 Dynamic Link Library (generic) (1.9%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x100112ca

timedatestamp.....: 0x3f41bf26 (Tue Aug 19 06:09:42 2003)

machinetype.......: 0x14c (I386)
 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x17f09 0x18000 6.59 fbf397dc6eb0dcb71f03c286199c2ece

.rdata 0x19000 0x36fb 0x4000 4.70 b7609442b34ea07e223a03bc146f75e5

.data 0x1d000 0x3344 0x2000 3.50 523679a26c17a99eb5352ae3405ada53

.rsrc 0x21000 0xef8 0x1000 3.95 b5423bbdc00ed2e13ef6d6a536f99cb6

.reloc 0x22000 0x1e4e 0x2000 4.73 17ed5a4e446db3c144255b1c97032bfe
 

( 8 imports )

> WININET.dll: InternetOpenA, InternetOpenUrlA, InternetCloseHandle, InternetReadFile, InternetSetOptionA

> KERNEL32.dll: SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, DeleteCriticalSection, EnterCriticalSection, InitializeCriticalSection, MultiByteToWideChar, lstrlenA, GetLastError, GetModuleFileNameA, lstrcatA, lstrcpyA, WideCharToMultiByte, lstrlenW, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, LeaveCriticalSection, InterlockedIncrement, InterlockedDecrement, LockResource, FindResourceExA, GetShortPathNameA, lstrcpynA, WaitForSingleObject, ReleaseMutex, CloseHandle, DeleteFileA, CreateProcessA, GetTempPathA, GetTempFileNameA, GetWindowsDirectoryA, GetEnvironmentVariableA, CreateFileA, WriteFile, SetEndOfFile, LoadLibraryA, RtlUnwind, lstrcmpiA, IsDBCSLeadByte, FreeLibrary, RaiseException, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadCodePtr, CreateMutexA, SetFilePointer, VirtualQuery, GetSystemInfo, VirtualProtect, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, GetStringTypeW, GetStringTypeA, LCMapStringW, FlushFileBuffers, SetStdHandle, HeapDestroy, HeapAlloc, HeapFree, HeapReAlloc, HeapSize, GetProcessHeap, GetSystemTimeAsFileTime, GetCurrentThreadId, TlsSetValue, GetCommandLineA, ExitProcess, GetProcAddress, GetModuleHandleA, TerminateProcess, GetCurrentProcess, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, GetOEMCP, GetCPInfo, TlsFree, SetLastError, TlsGetValue, TlsAlloc, LCMapStringA, ReadFile

> USER32.dll: CharNextA

> ADVAPI32.dll: RegQueryValueExA, RegOpenKeyExA, RegQueryInfoKeyA, RegDeleteKeyA, RegEnumKeyExA, RegDeleteValueA, RegCloseKey, RegSetValueExA, RegCreateKeyExA

> SHELL32.dll: SHGetFileInfoA

> ole32.dll: CoCreateInstance, StringFromGUID2, CoTaskMemAlloc, CoTaskMemRealloc, CoCreateGuid, StringFromCLSID, CoTaskMemFree

> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -

> SHLWAPI.dll: PathFindExtensionA
 

( 6 exports )

DllCanUnloadNow, DllGetClassObject, DllMain, DllRegisterServer, DllRun, DllUnregisterServer

Dachte ich es mir. :kloppen: Beides ist Malware.

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

files to delete:

C:\Dokumente und Einstellungen\Administratormupd1_2_645698.exe

C:\WINDOWS\bs3.dll

http://mitglied.lycos.de/efunction/tb/avenger.png

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Ich hoffe das bringts erstmal. Ich muss erstmal ins Bett. :sleepy:

Code:

//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////
 

Platform: Windows XP (build 2600, Service Pack 2)

Fri Oct 31 23:13:41 2008
 

23:13:41: Error: Invalid script.  A valid script must begin with a command directive.

Aborting execution!
 
 

//////////////////////////////////////////
 
 

//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////
 

Platform: Windows XP (build 2600, Service Pack 2)

Fri Oct 31 23:13:57 2008
 

23:13:57: Error: Invalid script.  A valid script must begin with a command directive.

Aborting execution!
 
 

//////////////////////////////////////////
 
 

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

File "C:\Dokumente und Einstellungen\Administratormupd1_2_645698.exe" deleted successfully.

File "C:\WINDOWS\bs3.dll" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:28:27, on 31.10.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Programme\Analog Devices\SoundMAX\SMTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe

C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe

C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE

C:\WINDOWS\system32\HPZipm12.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\T-DSL Manager\DslMgrSvc.exe

C:\WINDOWS\system32\wscntfy.exe

C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe

C:\PROGRAMME\MOZILLA FIREFOX 3 BETA 4\FIREFOX.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Total Commander\TOTALCMD.EXE

D:\Felix\HiJackThis.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\SoftwareDistribution\Download\8a2f93426d4163721f5c882a773f8fb3\update\update.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: CExtension Object - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll (file missing)

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Steganos AntiVirus 2006\kav.exe" /minimize

O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [Bsx3] RunDLL32.EXE C:\WINDOWS\bs3.dll,DllRun

O4 - HKLM\..\Run: [SNM] C:\Programme\SpyNoMore\SNM.exe /startup

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [wixpo] "C:\Dokumente und Einstellungen\Administratormupd1_2_645698.exe"

O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'Default user')

O4 - S-1-5-18 Startup: T-DSL Manager.lnk = ? (User 'SYSTEM')

O4 - .DEFAULT Startup: T-DSL Manager.lnk = ? (User 'Default user')

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6#2\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6#2\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{9DAFC43E-0BBE-4BE1-8D1F-0F6041B91965}: NameServer = 217.237.149.205 217.237.151.51

O23 - Service: Hotspot Manager (HotSpotFSvc) - T-Systems Enterprise Services GmbH - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: kavsvc - Steganos GmbH - C:\Programme\Steganos AntiVirus 2006\kavsvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: T-DSL Manager (TDslMgrService) - T-Systems - C:\Programme\T-DSL Manager\DslMgrSvc.exe
 

--

End of file - 5356 bytes

Guten morgen,

ich hab egrad meinen rechner hochgefahrn un da kam dann beim start die meldung "RUNDLL32.exe konnte nicht geladen werden.Es konnte nicht gefunden werden".
diese Datei is in meim auto Strat menu drin.

1. Was bedeutet diese Datei?
2. Ist es schlimm, wenn sie nicht gefunden werden konnte, bzw. was bedeutet das für mich?

Das Fenster mit dem Trjoan-keylogger.win32.fung ist auch nicht wieder aufgetaucht...puuuh zum glück. Ich kann damit jetzt auch wieder auf meine windows firewall zugreifen.

Trotzdem kann ich etwas dagegen tun, was mit so etwas nicht wieder passiert d.h. Vorkehrungen treffen??

Kannst du mir eventuell ein gutes Antivirus programm empfehlen. Ich benutze derzeit Steganos von 2006. Ich finde das programm nur sehr bescheiden, weil es immer ewig brauch mit laden am anfang un das früher bei zone alarm nicht so war...?

Danke nochmal für die Hilfe von gestern, warst echt mein retter.. ;)

Hallo,

Code:

O2 - BHO: CExtension Object - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll (file missing)

O4 - HKLM\..\Run: [Bsx3] RunDLL32.EXE C:\WINDOWS\bs3.dll,DllRun

O4 - HKCU\..\Run: [wixpo] "C:\Dokumente und Einstellungen\Administratormupd1_2_645698.exe"

Diese Einträge bitte mit Hijackthis fixen. Wie das geht, entnimmst Du der Anleitung.

Code:

O4 - HKLM\..\Run: [SNM] C:\Programme\SpyNoMore\SNM.exe /startup

Hast Du in der Zwischenzeit dieses Programm SpyNoMore installiert? Es taucht erst jetzt im Logfile auf!

Zitat:

"RUNDLL32.exe konnte nicht geladen werden.Es konnte nicht gefunden werden".
diese Datei is in meim auto Strat menu drin.

Das passiert, weil noch ein Autostart-Eintrag vom Schädling vorhanden ist, wenn Du die o.g. Einträge fixt, sollte die Meldung nicht mehr auftauchen.

Zitat:

Trotzdem kann ich etwas dagegen tun, was mit so etwas nicht wieder passiert d.h. Vorkehrungen treffen??

Ja. Diesen Artikel vollständig lesen, begreifen und umsetzen. Frag ruhig nach, wenn etwas unklar ist.

Zitat:

Kannst du mir eventuell ein gutes Antivirus programm empfehlen. Ich benutze derzeit Steganos von 2006. Ich finde das programm nur sehr bescheiden, weil es immer ewig brauch mit laden am anfang un das früher bei zone alarm nicht so war...?

Du brauchst weder ZoneAlarm (:pukeface:) noch dieses Steganos-Zeugs- ein einfacher Virenscanner wie z.B. AntiVir oder AVG Free (kostenlos für Privatanwender) plus Windows-Firewall reicht dicke aus. Wenn Du oben verlinkten Artikel liest, weißt Du auch warum. ;)

Code:

C:\Dokumente und Einstellungen\mjkmsk.dll

Werte diese Datei bitte nochmal bei Virustotal aus und poste die Ergebnisse.
Du solltest übrigens auch zusehen, dass Du möglichst bald das SP3 für Windows XP sowie die Folgeupdates installierst! :kloppen:

Zitat:

Zitat von Partynixe21 (Beitrag 387767)

sry... bin bill durcheinanner gekomm..

was is seppdepp fürn typ??

ach nur son Typ der unqualifiziert helfen wollte!
Tut mir leid dass meine Anleitung so einfach war.

ciao

Zitat:

Zitat von Seppdepp (Beitrag 388695)

ach nur son Typ der unqualifiziert helfen wollte!
Tut mir leid dass meine Anleitung so einfach war.

ciao

Deine Anleitung war in diesem Fall auch richtig. :rolleyes:
Ich mach aber absichtlich weitergehende Analysen, also in jedem Falle es komplizierter als dem ersten Anschein nötig, weil erfahrungsgemäß die Malware heute nicht mehr so primitiv ist wie sie vor einigen Jahren noch war. Und häufig findet man noch weitere "schlummernde" Dateien. Einfach nur einen Task beenden und die korrespondierende Datei löschen reicht idR schon lange nicht mehr allein aus.

Zitat:

Zitat von root24 (Beitrag 388699)

Das mit der weitergehenden Analyse hab ich schon kapiert - hab die empfohlen Links mal angeschaut. Horror --- jedes Mal bei Infekt das System platt machen, welch Aussicht!!! Also ich brauch zwei Tage bis alle patches und Anwendungen so wieder laufen wie vorher, da drückt man sich schon ganz gerne drum und nimmt ein gewisses Risiko in Kauf.

Ich kam mir jedenfalls so vor als wäre ich in euer nettes Zweierpläuschchen reingeplatzt (huch was ist das fürn Typ), dann vielleicht doch Beratung per pm??

Nix für ungut...

Grußß der S...Depp

Zitat:

Das mit der weitergehenden Analyse hab ich schon kapiert - hab die empfohlen Links mal angeschaut. Horror ---

Es gibt überhaupt keinen Grund sich künstlich aufzuregen. Entspann Dich. :rolleyes:

Zitat:

Horror --- jedes Mal bei Infekt das System platt machen, welch Aussicht!!!

Naja, manch einer muss leider garantiert ein sauberes System haben. In Firmennetzwerken z.B. wäre das der Fall. IdR hat man dort aber über ein Systemimage schnell ein Client wiederhergestellt, falls es doch zum Befall gekommen sein sollte.

Zitat:

Also ich brauch zwei Tage bis alle patches und Anwendungen so wieder laufen wie vorher, da drückt man sich schon ganz gerne drum und nimmt ein gewisses Risiko in Kauf.

Wie gesagt. Möglichkeiten gibts immer. Statt neu aufsetzen kann man sich auch vorher ein Image erstellen und bei bedarf wieder zurückspielen. Ansonsten hat man meist eben Pech gehabt. An für sich ist man ja auch selbst Schuld, dass das System die Pest hat. :rolleyes:

Oder aber eben, man nimmt eine recht aufwändige Bereinigung in Kauf und ich hoffe diesen Aufwand sieht man in meiner Anleitung.

Zitat:

Ich kam mir jedenfalls so vor als wäre ich in euer nettes Zweierpläuschchen reingeplatzt (huch was ist das fürn Typ), dann vielleicht doch Beratung per pm??

Es klang schon ein wenig unqualifiziert, v.a. deswegen weil es in den allerseltensten Fällen ausreicht, nur nach Deiner Methode vorzugehen. :kloppen:
Außerdem verunsichert es auch den TO, wenn auf einmal jmd. anders was dazwischenruft, mach mal lieber dies und das, ... kannst Du verstehen oder? :twak:

Zitat:

Nix für ungut...

Dito...